我正在管理 Windows 2008 R2 Server 机箱。为了进行维护,我需要花几个小时来拒绝远程桌面用户中的所有用户访问并仅允许管理员访问。
我尝试gpedit.msc
过用户权利拒绝用户组,但管理员仍然无法登录,因为它返回权限错误。
如果我拒绝用户组使用远程桌面连接,为什么管理员无法登录?
答案1
拒绝总是胜过允许,并且管理员(通常)也是用户组的成员。
也许,您不需要将用户组添加到“拒绝通过远程桌面服务登录”策略,而是可以从“允许通过远程桌面服务登录”策略中删除除管理员组之外的所有用户/组?
答案2
这是加入域的服务器吗?如果是,域级组策略将是您的救星。在活动目录中为远程桌面管理员创建一个 OU,并为其创建一个 GPO,在组策略管理中将它们链接起来,并对其进行调整以满足您的需求。
如果这不是加入域的服务器,请尝试仅为远程管理员创建 GPO 并中断其继承。
此外,必须在服务器本身上启用远程桌面。